Ikkinchi bosqich - tizimning o'ziga xos xususiyatlarini tavsiflovchi ma'lumotlarni kiritish. Ma'lumotlar qo'lda kiritilishi yoki kompyuter tarmog'idagi zaifliklarni o'rganish vositalari tomonidan yaratilgan hisobotlardan import qilinishi mumkin. Ushbu bosqichda, xususan, resurslar, yo'qotishlar va hodisalar sinflari batafsil tavsiflanadi. Hodisa sinflari yo'qotishlar toifasi va resurs toifalarini moslashtirish orqali olinadi.
Mumkin bo'lgan zaifliklarni aniqlash uchun ma'lumotlar bazasi 600 dan ortiq savollarni o'z ichiga olgan so'rovnomadan foydalaniladi. Resurs toifalari bilan bog'liq savollar.
Tanlangan tahdidlarning har birining paydo bo'lish chastotasi, zaiflik darajasi va resurslarning qiymati ham o'rnatiladi. Tizimda tanlangan tahdid sinfi uchun o'rtacha yillik sodir bo'lish taxminlari (LAFE va SAFE) mavjud bo'lsa, ular ishlatiladi. Bularning barchasi kelajakda himoya vositalarini joriy etish samarasini hisoblash uchun ishlatiladi.
Uchinchi bosqich - xavfni miqdoriy baholash. Ushbu bosqichda xavf profili hisoblab chiqiladi va xavfsizlik choralari tanlanadi. Birinchidan, tadqiqotning oldingi bosqichlarida aniqlangan resurslar, yo'qotishlar, tahdidlar va zaifliklar o'rtasida aloqalar o'rnatiladi. Asosan, xavf yillik yo'qotishlarni matematik kutilmalardan foydalangan holda baholanadi.
Misol uchun, agar server narxi 150 000$ dollar bo'lsa va uning bir yil ichida yong'in natijasida vayron bo'lish ehtimoli 0,01 bo'lsa, kutilayotgan yo'qotish 1500$ dollarni tashkil qiladi.
- Hisoblash formulasi (m = p * v, bu yerda m - matematik kutilma, p - tahdid ehtimoli, v - resurs narxi)
- RiskWatch Amerika instituti tomonidan aniqlangan hisob-kitoblardan foydalanganligi sababli ba'zi o'zgarishlarga duch keldi. NIST standartlari, LAFE va SAFE deb ataladi.
- LAFE (Local Annual Frequency Estimate) - bu tahdid ma'lum bir joyda (masalan, shaharda) yiliga o'rtacha necha marta amalga oshirilishini ko'rsatadi.
- SAFE (Standard Annual Frequency Estimate) - bu tahdid yiliga o'rtacha necha marta ushbu "dunyoning bir qismida" (masalan, Shimoliy Amerikada) amalga oshirilishini ko'rsatadi. Tahdidni amalga oshirish natijasida himoyalangan resurs to'liq yo'q qilinishi mumkin emas, balki qisman bo'lishi mumkinligini hisobga olish imkonini beradigan tuzatish omili ham joriy etilgan.
Asset Value - ko'rib chiqilayotgan aktivning qiymati (ma'lumotlar, dasturiy ta'minot, apparat va boshqalar);
Exposure Factor - ta'sir koeffitsienti - aktiv qiymatining qaysi qismi (foizda) xavf ostida ekanligini ko'rsatadi;
Frequency - istalmagan hodisaning paydo bo'lish chastotasi;
ALE - bu bitta tahdidni amalga oshirish natijasida aniq bir aktiv uchun kutilayotgan yillik yo'qotishlarni baholash.
RiskWatch LAFE va SAFE ma'lumotlar bazalari, shuningdek, har xil turdagi himoya vositalarining umumiy tavsifini o'z ichiga oladi.
Ma'lum bir vaqt oralig'ida amalga oshirilgan investitsiyalarning daromadliligini ko'rsatadigan investitsiyalar rentabelligi (Return on Investment - investitsiya qaytishi), ko'rsatkichi himoya choralarini amalga oshirish ta'sirini aniqlaydi. U quyidagi formula bo'yicha hisoblanadi:
Do'stlaringiz bilan baham: |